Über den Umgang mit Passwörtern

Passwörter sind immer noch ein zentrales Element zur Authentisierung von Nutzern. Deswegen ist Passwortsicherheit ein zentrales Thema bei technisch-organisatorischen Maßnahmen für den Datenschutz. Im Umgang mit Passwörtern gibt es viele wichtige Aspekte zu betrachten. Im Folgenden sollen einige Gedanken, Informationen und Tipps zum sicheren Umgang mit Passwörtern vorgestellt werden.

Gute Passwörter, schlechte Passwörter

Der Datenschutz beginnt schon mit der Auswahl eines guten bzw. starken Passwortes. Nur starke Passwörter bieten einen gewissen Schutz gegen den unberechtigten Zugang auf Datensysteme. Nachfolgend werden einige Beispiele für schwache und starke Passörter vorgestellt. Zusätzlich zu den Beispielen wird auch immer eine Bewertung der Passwortstärke angegeben. Diese Bewertung wurde mit dem Passwortchecker von Kaspersky [1] durchgeführt. Kaspersky schätzt dabei den erforderlichen Zeitaufwand für das Knacken mittels eines einzelnen Personal Computer und der Durchführung einer Bruteforce-Attacke. Professionelle Hacker verwenden wesentlich ausgeklügeltere Methoden und Algorithmen um Passwörter effizient und deutlich schneller zu knacken. Professionelle Hacker verfügen häufig auch über beachtliche Rechnerleistung zum Deshalb erlauben die mitgeteilten Zahlen von Kasperski nur eine grobe Bewertung der Stärke eines Passwortes.  

Schlechte Passwörter

Zahlen- & Buchstabenfolgen

Logische Zahlen- oder Buchstabenfolgen sind extrem schlechte Passwörter. Diese logischen Zahlen- und Buchstabenfolgen können bereits „unabsichtlich“ durch gelangweilte Personen, die auf der Tastatur spielen geknackt werden.

Zahlenfolgen12345678Kaspersky < 1 Sekunde
BuchstabenfolgenabcdefghiKaspersky < 1 Sekunde

 Namen, Geburts- und Jahrestage

Namen von Familienangehörigen, Freunden und anderen Personen gerne auch in Kombination mit  Geburts- oder Jahrestagen lassen sich schon in wenigen Sekunden bis Monaten knacken. Die größte Gefahr besteht häufig darin, dass diese Daten z.B. durch Social Engineering ermittelt oder erraten werden.

VornameManfredKaspersky ca. 2 Minuten
Vorname + NameManfred MannKaspersky ca. 2 Monate
Name + DatumManfred1978Kaspersky ca. 3 Stunden
Name + langes DatumManfred 01012001Kaspersky ca. 10 Monate

Lexikalische Begriffe

Beliebige Wörter aus dem Lexikon lassen sich ebenfalls schnell knacken und bieten keinen guten Schutz.  Je nachdem wie ungewöhnlich das Wort ist wird mal mehr oder weniger Zeit für das Knacken benötigt.

Lexikalischer BegriffStärke nach Kaspersky
PortfolioKaspersky ca. 2 Minuten
ZirkusKaspersky ca. 3 Stunden
ubiquitärKaspersky 4 Jahre
EpanadiploseKaspersky 25 Jahre

Bessere Passwörter

Passwörter, die die auf einen Merksatz beruhen und sich so leichter merken lassen.

MerksatzPasswortStärke
Ein Passwort muss immer stark und sicher sein!1Pmis&ss!Kaspersky ca. 4 Monate

Im Beispiel wurde der Merksatz auch noch durch die Zahl 1 und und das Sonderzeichen & weiter kompliziert. Dadurch wird das Passwort noch ein Stückchen stärker.

Starke Passwörter

Je länger die Merksätze sind desto länger werden desto längere und stärkere Passwörter lassen sich auch damit bilden.

MerksatzPasswortStärke
Schleicht ein Passwort-Dieb auf Zehenspitzen in ein Büro um mein Passwort zu klauen?S1P-Da10i1BumPzk?Kasperski >1.000.000 Jahre

Im Beispiel wurde der Passwortdieb als zwei Substantive mit einem Bindestrich geschrieben. Zusätzlich enthält dieses Passwort eine phonetische Analogie Zehen = 10. Dadurch wird schon ein sehr komplexes und auch sicheres Passwort gebildet.

Aber auch ein solche Komplexes durch einen Menschen aus einem Merksatz abgeleitetes Passwort kann mit etwas psychologischen Geschick ausgespäht und erraten werden.

 Sehr starke Passwörter

Zufällige Kombinationen aus Zahlen, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen lassen sich ebenfalls starke Passwörter bilden, die auch nicht durch geschickte Befragung des Menschen ausgespäht werden kann. Im Internet sind zahlreiche Passwortgeneratoren zu finden, die auch solche Zufallszeichen generieren.

Zufällige Zeichenfolge$D2FQj%=P(E?kg%9wlKasperski >1.000.000 Jahre

Quellennachweis:

[1] Kaspersky Passwortchecker: https://password.kaspersky.com/de/